Pwn2Own este un concurs de hacking organizată anual la conferința de securitate CanSecWest, începând din 2007. Participanții se confruntă cu provocarea de a exploata software și dispozitive mobile utilizat pe scară largă cu vulnerabilități necunoscute până acum.
Câștigătorii concursului primesc dispozitivul pe care l-au exploatat, un premiu în bani și un „MastersSărbătorind anul victoriei sale. Numele „Pwn2Own” este derivat din faptul că participanții trebuie să „pwn” sau să pirateze dispozitivul pentru a-l „deține” sau a-l câștiga.
Concursul Pwn2Own servește pentru a demonstra vulnerabilitatea dispozitivelor și software-urilor utilizate pe scară largă și oferă, de asemenea, un punct de control cu privire la progresele înregistrate în domeniul securității de anul anterior.
Despre Pwn2Own 2020
În această nouă ediție a Pwn2Own 2020, în acest an competițiile au avut loc virtual și atacurile au fost prezentate online, din cauza problemelor generate de răspândirea Cornonavirusului (Covid-19), fiind prima dată organizatorul tău Inițiativa Zero Day (ZDI), au decis să organizeze evenimentul permițând participanților să demonstreze departe exploatările sale.
În timpul competiției au fost prezentate diverse tehnici de lucru pentru a exploata vulnerabilitățile necunoscut anterior în Ubuntu Desktop (Kernel Linux), Windows, macOS, Safari, VirtualBox și Adobe Reader.
Suma totală a plăților s-a ridicat la 270 de mii de dolari (Fondul total de premii a depășit 4 milioane USD).
Pe scurt, rezultatele a două zile de concurs Pwn2Own 2020 organizat anual la conferința CanSecWest sunt după cum urmează:
-
- În prima zi a Pwn2Own 2020, o echipă din Georgia Software and Security Lab Sisteme tehnice (@SSLab_Gatech) Hack Safari cu macOS la nivel de nucleu escaladare de privilegii și porniți calculatorul cu privilegii de root. Lanțul de atac a implicat șase vulnerabilități și a permis echipei să câștige 70,000 de dolari.
- În timpul evenimentului Manfred Paul de la „RedRocket” a fost însărcinat cu demonstrarea escaladării privilegiilor locale în Ubuntu Desktop prin exploatarea unei vulnerabilități în nucleul Linux asociată cu verificarea incorectă a valorilor de intrare. Acest lucru l-a determinat să câștige un premiu de 30 de dolari.
- también a fost efectuată demonstrația ieșirii dintr-un mediu invitat în VirtualBox și executarea codului cu drepturile unui hipervizorPrin exploatarea a două vulnerabilități: capacitatea de a citi date dintr-o zonă în afara bufferului alocat și o eroare la lucrul cu variabile neinițializate, premiul pentru dovedirea acestui defect a fost de 40 de dolari. În afara competiției, reprezentanții Inițiativei Zero Day au demonstrat, de asemenea, un alt truc VirtualBox, care permite accesul la sistemul gazdă prin manipulări în mediul invitat.
- Două demonstrații de escaladarea privilegiilor locale în Windows prin exploatarea vulnerabilităților care au dus la accesul la o zonă de memorie deja eliberată, cu aceasta au fost acordate două premii de câte 40 de mii de dolari fiecare.
- Obțineți acces de administrator în Windows când deschideți un document PDF special conceput în Adobe Reader. Atacul implică vulnerabilități în Acrobat și în kernel-ul Windows legate de accesarea zonelor de memorie deja eliberate (premiu de 50 $).
Celelalte nominalizări nerevendicate au fost trimise pentru hacking Chrome, Firefox, Edge, Microsoft Hyper-V Client, Microsoft Office și Microsoft Windows RDP.
A existat, de asemenea, o încercare de a pirata stația de lucru VMware, dar încercarea nu a reușit. Ca și anul trecut, hacking-ul majorității proiectelor deschise (nginx, OpenSSL, Apache httpd) nu a intrat în categoriile de premii.
În mod separat, ne putem uita la problema pirateriei sistemelor de informații Tesla auto.
Nu au existat încercări de piratare a Tesla în competiție.a, în ciuda primei maxime de 700 mii dolari, dar au existat informații separate despre detectarea vulnerabilității DoS (CVE-2020-10558) în Tesla Model 3, care permite dezactivarea unei pagini special concepute în notificările încorporate ale pilotului automat și întreruperea funcționării componentelor precum vitezometrul, navigatorul, aerul condiționat, sistemul de navigație etc.
Fuente: https://www.thezdi.com/